調查:GDPR 的全球影響力
作者:星期五, 九月 27, 20190

并不是沒有人預見到它的到來。畢竟現行的《歐盟通用數據?;ぬ趵肥親?2012 年以來一直在公眾監督下制定的,并于 2018 年 5 月起全面生效。但該條例的的實施情況還存在一定的不確定性,尤其是在跨國公司中。

 

從本質上講,GDPR 要求企業和國家的個人數據看管人?;ふ廡┬畔?,以?;づ分薰竦囊?,并禁止向該區域以外的國家流出個人數據。根據該協議,違規行為可能會導致高達組織機構年收入 4% 的???。

在新法律生效之前,人們普遍為潛在??畹氖畎Ш?。在新規定實施的第一年,GDPR 也確實對一些違規者進行了懲罰。這些被點名的企業被處以總計 5600 萬美元的???。這不是一個小數目,但是對于數十億美元的公司來說,這是一筆相對較小的經營成本。因此,盡管 GDPR 確實規定了巨額???,但根據其第一年實行情況,很多企業還是會認為??罱鴝釗勻換岜3窒嘍越系?。

隨后在 2014 年就發生了喜達屋酒店及度假酒店國際集團 (Starwood Hotels & Resorts) 泄密事件,此次事件導致了包括密碼、支付卡號和其他個人身份信息在內的客戶數據大量丟失。萬豪于 2016 年收購喜達屋時可能并不知道此事,也沒有完全理解此次事件的重要性。但是萬豪在 2018 年因為該事件被???1.24 億美元——約占該組織年收入的 2%——對這家全球酒店經營者來說無疑是一記警鐘。

這也為其他考慮并購的企業敲響了警鐘。萬豪在收購喜達屋時顯然獲得了超出預期的回報,這對其資產負債表產生了重大影響。萬豪最初認為的競爭優勢,現在除了損害了自己在潛在客戶中的聲譽外,還變成了財務負擔。如果不評估收購目標持有的敏感數據所面臨的網絡風險——也不確認圍繞這些數據是否具備強大的檢測和響應能力——那么,其妥協伴隨著責任就會成為交易中不受歡迎的一部分。

在 2017 年也發生過類似的事情,當時雅虎的數據遭到兩次大規模泄露,而該公司即將被 Verizon 收購。結果,收購條款突然發生了變化。Verizon 最終支付的價格比最初的報價低 3.5 億美元。除此之外,兩家公司還同意共同承擔約 15 億被黑賬戶所帶來的法律和監管責任。

今年對萬豪的??鉅泊蚱屏巳嗣竊諗分蘗硪桓銎氈槌鐘械墓鄣?。根據以往處理涉及個人信息問題的經驗,一旦 GDPR 到位,社交媒體巨頭如 Facebook 和谷歌等將成為其主要目標。盡管監管機構仍對社交媒體特別關注,但喜達屋事件表明,發生潛在不法行為的范圍也擴展到了其他類型的企業。

但是 GDPR 并沒有建立一支網絡警察隊伍來搜尋違規行為。相反,該協議的一個關鍵組成部分涉及違規行為的自我報告。有關機構須在知悉此類數據泄露后的 72 小時內,向監管機構及受影響人士報告個人資料外泄情況??殺ǜ嫻奈ス嫘形贍芐〉轎摶庵忻薌土四橙?,也可能大到在線暴露了詳細客戶數據庫。信息保障和隱私從業者 (Information Assurance and Privacy Practitioners, IAPP) 最近發布了一份關于 GDPR 第一年情況的研究報告。2018 年 5 月至 2019 年 2 月,歐盟及其伙伴國家的監管機構共收到約 5.9 萬份違規通知;其中 91 個違規行為被???,大部分數額相對較小。然而很多觀察者認為,實際的違規數量可能更大,其中很多可能涉及上千甚至上百萬份文件的泄露。

并非只有歐洲在致力于?;じ鋈聳?。雖然國家立法可能受到黨派壁壘的影響,但美國聯邦貿易委員會 (Federal Trade Commission) 最近批準對 Facebook 處以 50 億美元???,原因是該公司對用戶個人信息處理不當。新加坡有自己的個人數據?;し?,類似于 GDPR。澳大利亞有自己的隱私原則。甚至南非也有詳細的隱私協議。

但是,盡管全世界在?;じ鋈聳鶯陀畔瓤悸塹諶椒縵展芾矸矯嬡〉昧私?,但在信息所有權上仍然存在重大文化差異。例如在美國,很多在歐洲受限制的數據都是被公開收集和自由交換的。對于總部在美國、客戶和文件分布在很多不同國家的公司來說,協調沖突和法律可能在未來幾年仍將是一個令人頭疼的問題。

相關閱讀

 

GDPR一周年:經驗與教訓

9.5萬起投訴:GDPR生效后歐盟國家投訴激增

GDPR一周年:歐洲數據?;の被崾追軬DPR年度報告

 

 

 


相關文章

寫一條評論

 

 

0條評論